Pour gérer vos consentements :

Desert Falcons : le cyber-crime à la mode orientale

Communications diplomatiques, plans militaires, documents financiers, carnets d’adresses de médias : les Desert Falcons auraient déjà dérobé plus d’un million de fichiers à environ 3000 victimes dans une cinquantaine de pays dont la France.

Les équipes de Kaspersky ont fait la lumière sur ce groupe de cyber-mercenaires de langue arabe qui compterait une trentaine de membres répartis en trois équipes (Palestine, Égypte et Turquie). L’éditeur assure connaître l’identité de certains de ces pirates spécialisés dans les attaques persistantes avancées (APT) et dont les premières traces sur le réseau Internet remonteraient à 2011.

En cours depuis au moins deux ans, la campagne des Desert Falcons a connu un pic d’activité en ce début d’année. Elle cible principalement le Moyen-Orient, avec Israël et la Jordanie en tête de liste. Moins de 50 organisations auraient été touchées en France.

Les agences de défense et les administrations (notamment celles responsables de la lutte anti-blanchiment) ne sont pas les seules dans le collimateur de ces mercenaires du numérique. La santé, les médias, la recherche, l’enseignement, les banques et les réseaux d’énergie le sont aussi, au même titre que les responsables politiques et les militants.

Dans le cadre de leurs opérations, les Desert Falcons utilisent leurs propres logiciels malveillants. En l’occurrence, un cheval de Troie et une porte dérobée (backdoor) baptisée DHS. Leur vecteur d’infection est classique, puisqu’il s’agit du phishing : les utilisateurs visés reçoivent des e-mails d’apparence légitime qui les incitent à ouvrir des documents corrompus ou à cliquer sur des liens déclenchant le téléchargement d’un fichier infecté.

Parmi les techniques employées pour déjouer la vigilance des utilisateurs, on peut noter l’inversion de suffixe : un nom de fichier pouvant signaler une extension malveillante est modifié pour ne pas éveiller les soupçons. Comme on peut le constater dans le schéma ci-dessous et en page 12 du rapport de Kaspersky (document PDF), fdp.scr devient rcs.pdf.

Le trojan développé par les Desert Falcons peut réaliser des captures d’écran, enregistrer la frappe clavier, aspirer des fichiers, collecter des informations dans des documents Word et Excel (y compris sur des périphériques de stockage amovibles), enregistrer des données audio et voler des mots de passe dans la base de registre Windows.

Comme le note Silicon.fr, Kaspersky a aussi détecté l’activité d’un malware « qui semble être une backdoor Android capable de pirater le journal des appels et des SMS sur un mobile ».

Crédit photo : Mariia Savoskula – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago